DVWA(Damn Vulnerable Web Application,该死的易受攻击的 Web 应用)是一个用于 Web 渗透测试的靶场。这一项目基于 PHP,提供了多个常见的 Web 漏洞的经典实现,非常适合 Web 安全入门实践。(GitHub 仓库)
DVWA 的每个漏洞(vulnerability)分为四个安全等级(也代表攻击难度):
二十一岁了,到了小时候觉得很遥远的年纪。
现代前端应用框架(如 Next.js、Nuxt.js 等)都直接集成了完整的工具链,按照官方文档做,一行命令就可以配置完毕。这整套工具在我们调试和构建项目时,在背后做了大量工作。虽然这有助于快速上手,但是非常不利于我们了解其中的原理。
然而,各种工具纷繁复杂,文档浩如烟海。由于工具之多,即使文档再友好、工具本身再易用,也很难快速入门。
**本文将带你踏上一段旅程,从一个空文件夹开始,一步一步添加工具,最终配置一套完整的前端工具链。**在其中,我们可以对各个工具的概念、用途和原理有一个比较系统的认识。每个部分都列出了相关文档的链接,方便查阅。
想写一个新的个人主页很久了,甚至基于 Next.js、Nuxt.js 分别做过雏形,但是都半途而废。寒假接触到了早有耳闻的 Astro.js,这个框架简洁优雅的设计吸引了我。于是一发不可收拾,开发了全新版本的主页,并将各种页面和博客系统也集成进了这个主页。在设计和开发的过程中有无数的纠结和思考,特此记录下来。
上学期,我购入了 Kindle 并决定将它离线使用。Kindle 的阅读体验确实一流,但是由于亚马逊生态的封闭,从 Kindle 导出书摘、笔记就有些困难。
自从上次使用 Cloudflare Zero 的优惠买下两个 YubiKey 之后,这俩玩意被我搁置了一个学期。原因之一是学习成本不低,关于它们的文档、教程都充斥着不少不太了解的名词、概念,令人望而却步。于是经过查阅各种资料,在这篇博客中我将(用白话文)介绍我从零开始的 YubiKey 入门之旅。
Gandalf 可以作为一个有趣的 prompt injection 练习靶场。我们作为攻击方需要通过对 AI 的问答猜出密码(后端接的是 OpenAI 的 GPT),而每一关 AI 的防御(极力避免说出密码的措施)都会不断加强。这个游戏里,AI 的许多回应往往让人哭笑不得。快来与 AI 大战三百回合吧!
xss-labs 是一套基于 PHP 的 XSS 靶场,以闯关的形式让我们体验各种 XSS 漏洞利用方式。虽然已经是很多年前的了,但其中基本的 XSS 漏洞依然很有意义。
一共有 20 关,每一关的目标都是实现弹窗(alert(1)),如果成功就会自动进入下一关。
2020 年末,Apple M1 横空出世,2021 年刚高考完的我看着「吊打 Intel」的性能对比图,以及 MacBook Air 优雅又近乎极端的无风扇设计,毫不犹豫地入手了。虽然只能用 macOS,虽然是 arm 架构的芯片,但是「反正我本来就讨厌 Windows」,不管这么多了!那时候的我并没有意识到,这个选择会给大学学习带来怎样的麻烦。
这应该是我写过最长的实验报告了……
做的时候就感觉到,不愧是 CMU 的镇系神课,游戏化的关卡设计和埋藏的彩蛋都给人做下去的动力。所以虽然有点难(富有挑战性),但是很有意思。